IPsec VirtualIP server. Помогите с настройкой

[aimp87]

Настроил IPsec VirtulIP server на keenetic II с 2.09.А.7.0-0. Клиенты подключаются, локальная сеть доступна,  интернет через роутер доступен. Но некоторые сайты (в том числе и этот форум) не работают. Читал в одной из тем, что надо изменить значение mtu. Пробовал менять для интерфейсов ISP, IPIP, Bridge0 по на 1360 - все равно нет доступа к некоторым сайтам. И, кстати, для ISP поменял mtu через cli (командой interface ISP ip mtu 1360), перезагрузился, а в вэб-интерфейсе попрежнему первоначальное значение - 1500.

Подскажите, пожалуйста, какой из этих интерфейсов надо настроить:
        (config) interface 
                     Vlan
                   Bridge
                     PPTP
                     L2TP
                     IPIP
          TunnelSixInFour
                      Gre
                     EoIP
          TunnelSixToFour
            FastEthernet0
          FastEthernet0/1
                        1
          FastEthernet0/2
                        2
          FastEthernet0/3
                        3
          FastEthernet0/4
                        4
      FastEthernet0/Vlan1
      FastEthernet0/Vlan2
                      ISP
          FastEthernet0/0
                        0
              WifiMaster0
 WifiMaster0/AccessPoint0
              AccessPoint
 WifiMaster0/AccessPoint1
                GuestWiFi
 WifiMaster0/AccessPoint2
 WifiMaster0/AccessPoint3
 WifiMaster0/WifiStation0
                  Bridge0
                     Home

Сам не могу разобраться.

[Le ecureuil]

14 часа назад, aimp87 сказал:

Настроил IPsec VirtulIP server на keenetic II с 2.09.А.7.0-0. Клиенты подключаются, локальная сеть доступна,  интернет через роутер доступен. Но некоторые сайты (в том числе и этот форум) не работают. Читал в одной из тем, что надо изменить значение mtu. Пробовал менять для интерфейсов ISP, IPIP, Bridge0 по на 1360 - все равно нет доступа к некоторым сайтам. И, кстати, для ISP поменял mtu через cli (командой interface ISP ip mtu 1360), перезагрузился, а в вэб-интерфейсе попрежнему первоначальное значение - 1500.

Подскажите, пожалуйста, какой из этих интерфейсов надо настроить:
        (config) interface 
                     Vlan
                   Bridge
                     PPTP
                     L2TP
                     IPIP
          TunnelSixInFour
                      Gre
                     EoIP
          TunnelSixToFour
            FastEthernet0
          FastEthernet0/1
                        1
          FastEthernet0/2
                        2
          FastEthernet0/3
                        3
          FastEthernet0/4
                        4
      FastEthernet0/Vlan1
      FastEthernet0/Vlan2
                      ISP
          FastEthernet0/0
                        0
              WifiMaster0
 WifiMaster0/AccessPoint0
              AccessPoint
 WifiMaster0/AccessPoint1
                GuestWiFi
 WifiMaster0/AccessPoint2
 WifiMaster0/AccessPoint3
 WifiMaster0/WifiStation0
                  Bridge0
                     Home

Сам не могу разобраться.

MTU у virtual-ip изменить нельзя, поскольку у него нет интерфейса.

Попробуйте задать не автоматическое, а ручное управление TCP MSS:

> crypto map <server_name> set-tcpmss 1200

[KorDen]

Сейчас попробовал поднять Virtual IP - наткнулся на аналогичную проблему, при mss=1300 все ок, при pmtu сайты не открываются.

[gaaronk]

А не должен и не может работать pmtu в этом случае

[aimp87]

У меня не работал ни при mss 1200, ни  при 1300. Удалил и настроил заново Virual IP с mss 1300 и все заработало. Всем спасибо!

[KorDen]

В таком случае хотелось бы в дефолтном виде автоматическое указание pmtu, а то получается вкладку настройки VirtualIP упростили, но лезть в консоль все равно приходится

[Le ecureuil]

1 час назад, KorDen сказал:

В таком случае хотелось бы в дефолтном виде автоматическое указание pmtu, а то получается вкладку настройки VirtualIP упростили, но лезть в консоль все равно приходится

В дефолтной настройке и так идут PMTU, просто идиоты-администраторы некоторых сайтов запрещают ICMP Fragmentation Needed, вот и выходит, что часть не работает.

[KorDen]

10 минут назад, Le ecureuil сказал:

В дефолтной настройке и так идут PMTU, просто идиоты-администраторы некоторых сайтов запрещают ICMP Fragmentation Needed, вот и выходит, что часть не работает.

Думаю одно, говорю другое *в дефолтном виде автоматическое указание MSS, а не PMTU.

Могу ошибаться, но при set-tcpmss pmtu у меня через автотуннель ранее когда тестировал все сайты открывались, а вот через VirtualIP без ручного указания MSS те же сайты не открываются.

Изменено 14 мая, 2017 пользователем KorDen

[Le ecureuil]

1 час назад, KorDen сказал:

Думаю одно, говорю другое *в дефолтном виде автоматическое указание MSS, а не PMTU.

Могу ошибаться, но при set-tcpmss pmtu у меня через автотуннель ранее когда тестировал все сайты открывались, а вот через VirtualIP без ручного указания MSS те же сайты не открываются.

В случае автотуннеля MSS просто меньше сильно получается, вот все и работает.

А PMTU для MSS выставляется и там, и там, если явно его не задавать в виде числа в консоли.